Хакер, который вывел $25 млн из экосистемы dForce, предположительно дал правоохранителям возможности выйти на свой след. Он также попытался связаться с ее руководством. Об этом сообщает Cointelegraph.
В ходе атаки злоумышленник использовал уязвимость токена стандарта ERC-777, которую еще в 2018 году выявили исследователи ConsenSys при аудите безопасности системы смарт-контрактов децентрализованной биржи Uniswap. Стандарт ERC-777 считается более продвинутой версией ERC-20. Но технология более уязвима при использовании в системах децентрализованных финансов (DeFi).
В случае с Lendf.Me хакер воспользовался не только слабыми местами токена imBTC, но и критической уязвимостью в смарт-контрактах Lendf.me, отвечающих за обновление балансов пользователей.
Как объяснил аналитик под псевдонимом Frank Topbottom, злоумышленник многократно повторял одну и ту же простую атаку повторного входа.
Frank Topbottom@FrankResearcher1) The second attack using imBTC is more interesting. At the very beginning, attacker drained imBTC from other users on http://Lendf.me . Further, he repeated iterations to increase the ability to borrow other assets.
The attacker in each iteration (tx) did the following:
11309:15 - 19 апр. 2020 г.Информация о рекламе в Твиттере и конфиденциальность
Предварительно опустошив счета других пользователей платформы, он переводил токены imBTC на свой счет, повторяя ту же самую транзакцию, но уже на 0,00000001 imBTC. Это позволяло ему выводить токены, депонированные перед этим, сохраняя при этом состояние счета в прежнем виде.
Хакер вывел все токены с Lendf.me (291 imBTC или $2 млн). Он продолжил атаку, пока та же судьба не постигла все средства в протоколе dForce. Использовав фейковый баланс в качестве залогового обеспечения, он получил в распоряжение почти $25 млн в различных криптовалютах и стейблкоинах.
Frank Topbottom расписал, какие именно монеты и в каком количестве вывел хакер. Он отметил, что часть средств злоумышленник отправил в конкурирующий DeFi-протокол Compound.
Frank Topbottom@FrankResearcher · 19 апр. 2020 г.Ответ пользователю @FrankResearcher3)
After all iterations, his balance sheet made it possible to borrow all assets:
- 55159 WETH
- 698916 USDC
- 77930 CHAI
- 510868 USDx
- 432162 HUSD
- 459794 TUSD
- 7180523 USDT
- 587014 PAX
- 480787 BUSD
- 320 HBTC
- 8.9 WBTC
- 291 imBTC
Смотреть другие твиты Frank Topbottom
Несколько ранее в отдельном и скорее всего не связанном эпизоде неизвестные хакеры атаковали и опустошили пул ликвидности для imBTC на децентрализованной бирже Uniswap, воспользовавшись тем же вектором атаки на токен ERC-777. Описывая инцидент с Lendf.me, Frank Topbottom говорит о «второй атаке».
Неожиданная развязка
Вскоре после атаки на dForce хакер отправил три транзакции на $250 000 в токенах PAX на децентрализованные биржи 1inch.exchange и ParaSwap, а также на учетную запись администратора Lendf.Me. Последнюю он сопроводил с пометкой «Лучшего будущего».
Подобные действия можно воспринимать как предложение мира, поскольку PAX на латыни означает «мир».
После отклика Lendf.me с адресом электронной почты для связи хакер вернул похищенные стейблкоины Huobi BTC и Huobi USD на $2,6 млн, которые ему вряд ли бы удалось конвертировать без раскрытия личности.
В ответ на такой жест хакер получил от администратора Lendf.me сообщение с пометкой «Свяжись с нами. Ради твоего лучшего будущего».
Как считает представитель 1inch.exchange, злоумышленник мог по недосмотру раскрыть свои идентификационные данные, обратившись к сервису напрямую без использования распределенной файловой системы IPFS.
«Он может быть отличным кодером, но хакер из него не очень», — дал оценку действиям злоумышленника собеседник издания.
Все три запроса на обмен исходили с одного китайского IP-адреса. Представители биржи предположили, что это VPN или прокси-сервер, владельцы которых могут получить повестку в суд. Хакер использовал Mac, раскрыв разрешение своего экрана и английский язык.
Представители 1inch.exchange убеждены, что хакер вернет деньги в надежде на снисхождение.
Напомним, в феврале злоумышленник атаковал DeFi-платформу bzx и вывел с нее 1193 ETH ($350 000 на тот момент). Ущерб от последовавшей следом второй атаки на bzx составил уже $645 000.